Настройки Iptables для сервера
Re: Настройки Iptables для сервера
Сформулируйте пожалуйста ваше предложение по теме и добавьте Feature Request в багзиллу
Что конкретно предлагается.
http://mantis.vestacp.com/
Что конкретно предлагается.
http://mantis.vestacp.com/
Re: Настройки Iptables для сервера
Еще раз повторю, что список блокировки очень мало грузит процессор, это проверено в бою. Список ipset это модуль ядра линукс для iptables и представляет из себя такой хэш в памяти и скорость обращения к хэшу не зависит от количества записей. А список можно обновлять хоть раз в сутки и его обновление тоже не такое уж медленное, потому что ipset читает сразу весь список из файла:
ipset --restore < /etc/ipset.conf
В общем вывод такой: заблокировать атакующих лучше в ipset, чем не блокировать.
Кстати, fail2ban тоже можно настроить на использование ipset, в нем есть такие actions.
ipset --restore < /etc/ipset.conf
В общем вывод такой: заблокировать атакующих лучше в ipset, чем не блокировать.
Кстати, fail2ban тоже можно настроить на использование ipset, в нем есть такие actions.
Re: Настройки Iptables для сервера
belka2007, в целях безопасности могу ещё посоветовать вам утилиту denyhosts
утилита защитит ssh от подбора пароля
утилита защитит ssh от подбора пароля
Re: Настройки Iptables для сервера
А если я сделал вход в ssh только по ключу, а по паролю запретил. Это уже наверное не актуально?
Re: Настройки Iptables для сервера
Можно и так
Re: Настройки Iptables для сервера
добрый день, сталкиваюсь уже не в первый раз пытаюсь настроить ip tables в политиках правило разрешает подключение по ftp на 2121 порт вот конфиг iptables
но при включенном фаерволе по ftp не подключает выдает
Команда: MLSD
Ошибка: Превышено время ожидания соединения
Ошибка: Не удалось получить список каталогов
отключаешь фаервол все норамально
Code: Select all
# Generated by iptables-save v1.4.7 on Thu Sep 4 04:39:51 2014
*filter
:INPUT DROP [6:412]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [70:55595]
-A INPUT -i eth0 -p tcp -m tcp --dport 2233 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j ACCEPT
-A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 2121 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 2525 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --sport 465 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --sport 110 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --sport 143 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --sport 53 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --sport 953 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 8083 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --sport 587 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --sport 993 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --sport 995 -j ACCEPT
-A INPUT -i eth0 -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A INPUT -i eth0 -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A INPUT -i eth0 -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 2233 --tcp-flags FIN,SYN,RST,ACK SYN -m recent --set --name radiator --rsource
-A INPUT -p tcp -m tcp --dport 2233 --tcp-flags FIN,SYN,RST,ACK SYN -m recent --update --seconds 30 --hitcount 3 --name radiator --rsource -j DROP
COMMIT
# Completed on Thu Sep 4 04:39:51 2014
# Generated by iptables-save v1.4.7 on Thu Sep 4 04:39:51 2014
*nat
:PREROUTING ACCEPT [10388:911972]
:POSTROUTING ACCEPT [7653:515897]
:OUTPUT ACCEPT [7653:515897]
COMMIT
Команда: MLSD
Ошибка: Превышено время ожидания соединения
Ошибка: Не удалось получить список каталогов
отключаешь фаервол все норамально
Re: Настройки Iptables для сервера
Надо проверить, что в файл /etc/sysconfig/iptables-config в IPTABLES_MODULES добавлено значение "ip_conntrack_ftp". После этого перегрузить service iptables restart.
Re: Настройки Iptables для сервера
добавил заначение IPTABLES_MODULES="ip_conntrack_ftp"
перезапустил и всеравно не пускает
Команда: MLSD
Ошибка: Превышено время ожидания соединения
Ошибка: Не удалось получить список каталогов
перезапустил и всеравно не пускает
Команда: MLSD
Ошибка: Превышено время ожидания соединения
Ошибка: Не удалось получить список каталогов
Re: Настройки Iptables для сервера
Эта настройка подключает модуль ядра, который умеет отслеживать Established для ftp протокола. А что показывает команда lsmod | grep ftp ? У меня так
Code: Select all
# lsmod | grep ftp
nf_conntrack_ftp 12913 0
nf_conntrack 79758 3 nf_conntrack_ftp,nf_conntrack_ipv4,xt_state
Re: Настройки Iptables для сервера
Похоже проблема в том, что номер порта не стандартный 21, а другой. Тут http://ubuntuforums.org/showthread.php?t=1878252 и тут http://www.linux.org.ru/forum/admin/7740222 пишут, что придется настраивать modprobe.
Для Centos можно создать файл /etc/modprobe.d/conntrack.conf с текстом
Для Centos можно создать файл /etc/modprobe.d/conntrack.conf с текстом
или добавить в файл /etc/rc.local командуoptions ip_conntrack_ftp ports=21,2121
Если не идет, то поменять ip_conntrack_ftp на nf_conntrack_ftpmodprobe ip_conntrack_ftp ports=21,2121